التهديد الحصري الذي يشكل خطراً كبيراَ علي مستخدمي OneNote

News
مؤخراً إستخدام Microsoft OneNote أصبح يشكل تهديداً كبيراً حيث أنه عن طريق التصيد الإحتيالي يتسبب في وصول Malware
Amr Naom
Feb. 5, 2023, 9:57 a.m.
amr
التهديد الحصري الذي يشكل خطراً كبيراَ علي مستخدمي OneNote

مؤخراً إستخدام Microsoft OneNote أصبح يشكل تهديداً كبيراً حيث أنه عن طريق التصيد الإحتيالي "Phishing Attack" يتسبب في وصول Malware من العائلات البارزة الآتية: AsyncRAT ،RedLine Stealer ،Agent Tesla ،DOUBLEBACK ،Quasar RAT ،XWorm .Qakbot ،BATLOADER ،FormBook

 

ماذا يحدث في هذا الهجوم "Phishing Attack"؟

في بعض الحالات يقوم التصيد الاحتيالي بعمل مستند OneNote، والذي يتضمن ملف HTA الذي يستدعي الـ PowerShell لجلب تلك البرامج الضارة من خادم بعيد "remote server"، وفي حالات أخري يقوم بتضمين VBScript في مستند OneNote ومخبأ خلف صورة تظهر كـ Button والذي يبدو بالطبع أنه غير ضار.وقد تم تصميم VBScript من للتحكم في الـ PowerShell لتشغيل DOUBLEBACK.

ملف HTA:

برنامج يمكن تشغيله من خلال HTML File، وهو ملف Executable يحتوي علي نص تشعبي "hypertext" وقد يحتوي أيضاً علي VBScript أو JScript Code، يتم إنشاؤه ببساطة عن طريق تغيير الـ Extension الخاصة به من ".htm"  إلي ".hta".

VBScript:

هي لغة برمجة نصية من شركة مايكروسوفت وهي فرع من لغة الـ Visual Basic، مصممة لتستخدم من خلال متصفح Microsoft's Internet Explorer (IE).

 

كيف تحمي نفسك من هذا الهجوم؟

يجب عليك أن تقوم بحظر البريد الإلكتروني الذي يحتوي علي مرفقات OneNote أو OneNote Attachments والتي تنتهي بـ (one and .onepkg.).

يجب أن تتجنب فتح الملفات الغريبة أو النقر فوق أي URLs يتم إرساله لك.

طبقاً لما ورد في موقع Proofpoint:

"من المهم ملاحظة أن الهجوم لا ينجح إلا إذا تعامل المستلم مع المرفق، وتحديدًا بالنقر فوق الملف المرفق وتجاهل رسالة التحذير التي يعرضها OneNote"


Resources:


Phishing Attack Malware DOUBLEBACK VBScript OneNote Microsoft One Note Amr Naom